هکرها از یک حفره آسیبپذیر برای سرقت حسابهای کاربری در صرافی آمریکایی کوین بیس استفاده کردند.
نشریه فناوری Bleeping Computer گزارش داد:
بیش از 6000 کاربر Coinbase، از طریق نقصی در سیستم احراز هویت پیامکی کوین بیس هفته گذشته مورد حمله هکرها قرار گرفتند و اطلاعات حساب آنها هک شد.
Coinbase گفت برای جبران خسارت وارد شده، مبلغ دزدیده شده را پرداخت میکند و درباره نقض امنیتی، اطلاعات بیشتری را تا الان گزارش نکرده است.
هکرها از یک حفره آسیبپذیر برای دور زدن ویژگی احراز هویت پیامکی کوین بیس استفاده کردند. آنها به طور غیرقانونی به آدرسهای ایمیل کاربران، گذرواژهها و شماره تلفنهای مرتبط دسترسی پیدا کردند و از این اطلاعات برای ورود به سیستم استفاده کردند.
ممکن است هکرها برای دسترسی به چنین اطلاعات حساسی، با گروههای فیشینگ بسیار زیادی همکاری کرده باشند.علاوه بر این، ویروسهای تروجان در گذشته به کاربران صرافی کوین بیس ضربه زده بودند.
نقص امنیتی پیامک کوین بیس
هکرهایی که به حساب کاربران در کوین بیس و ایمیل مشتریان دسترسی دارند، در صورتی که احراز هویت چند مرحلهای را برای مشتری فعال کرده باشند، مشتریان دیگر نمیتوانند وارد حساب کاربری خود شوند.
کوین بیس اعلام کرد که یک حفره آسیب پذیر در روند بازیابی حساب پیامکی آنها وجود دارد و به هکرها اجازه میدهد تا توکن احراز هویت SMS را برای دسترسی به یک حساب امن دریافت کنند.
در اطلاعیهای آمده است:
“حتی با وجود اطلاعاتی که در بالا توضیح داده شد، احراز هویت SMS برای دسترسی به حساب Coinbase ضروری شده بود. “در این حادثه، مشتریانی که از سرویس پیامکی برای احراز هویت دو مرحلهای استفاده کرده بودند مورد حمله قرار گرفتند. هکرها از یک نقص در روند بازیابی حساب از طریق پیامک استفاده کردهاند و توانستند به کدهای ارسال شده دسترسی پیدا کنند.”
Coinbase بلافاصله پس از کشف اشکال اعلام کرد که مبالغ سرقت شده را مستقیماً به حساب کاربران هک شده بازپرداخت میکند؛
“ما مبلغی معادل ارزش ارزی که در زمان حادثه از حساب شما سرقت شده است را به حساب شما واریز میکنیم. برای برخی از مشتریان این مبلغ پرداخت شده است. ما اطمینان میدهیم که همه مشتریان تحت هر شرایطی تمامی مبالغ موجود در حساب کاربری خود را داشته باشند.
صرافی کوین بیس یکی از معتبرترین صرافیهای ارز دیجیتال در جهان است؛ اما این صرافی هم از هک در امان نبود. کارشناسان توصیه میکنند نگهداری تمام دارایی دیجیتال در صرافی کار منطقی نیست.